ThaiCERT เตือนอีเมลสแปมเปลี่ยนรูปแบบการเขียนระบุที่อยู่ IP

กองบรรณาธิการ TCIJ 22 ก.ย. 2563 | อ่านแล้ว 1960 ครั้ง

ThaiCERT เตือนอีเมลสแปมเปลี่ยนรูปแบบการเขียนระบุที่อยู่ IP

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) เตือนพบอีเมลสแปมเริ่มใช้วิธีเปลี่ยนรูปแบบการเขียนระบุที่อยู่ IP เพื่อหลบเลี่ยงระบบตรวจจับ โปรดตรวจสอบก่อนคลิก

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) รายงานเมื่อวันที่ 18 ก.ย. 2563 ว่าทีมวิจัยจาก Trustwave รายงานว่าพบอีเมลสแปมจำนวนมากที่ใช้เทคนิคการเปลี่ยนรูปแบบของการเขียนระบุที่อยู่ IP เพื่อหลบเลี่ยงระบบตรวจจับ โดยหลักแล้ว การเข้าชมเว็บไซต์นั้นสามารถทำได้ 2 ลักษณะ คือเข้าผ่านโดเมน กับเข้าผ่านที่อยู่ IP โดยในการระบุที่อยู่ IPv4 จะเขียนในรูปแบบเลขฐาน 10 คั่นด้วยจุด เช่น 127.0.0.1 ส่วนการระบุที่อยู่ IPv6 จะเขียนในรูปแบบเลขฐาน 16 คั่นด้วยเครื่องหมายโคลอน เช่น 2001:db8:a0b:12f0::1

อย่างไรก็ตาม การระบุที่อยู่ IP นั้นยังสามารถเขียนให้อยู่ในรูปแบบอื่นได้ด้วย เช่น

เลขฐาน 8 (Octal): https://0330.0072.0307.0116 (แปลงจากเลขฐาน 10 เป็นฐาน 8)
เลขฐาน 16 (Hexadecimal): https://0xD83AC74E (แปลงจากเลขฐาน 10 เป็นฐาน 16)
Integer หรือ DWORD: https://3627730766 (แปลงจากเลขฐาน 16 เป็น integer)

เมื่อเข้าถึงที่อยู่ IP ในรูปแบบดังกล่าวผ่านทางเบราว์เซอร์ ตัวเบราว์เซอร์จะแปลงที่อยู่ IP ให้เป็นรูปแบบเลขฐาน 10 จากนั้นจะเริ่มค้นหาและพาผู้ใช้เข้าไปยังเว็บไซต์ตามที่อยู่ดังกล่าวตามกระบวนการปกติ ทำให้ผู้ประสงค์ร้ายสามารถใช้วิธีนี้ในการส่งอีเมลหลอกให้เหยื่อคลิกเข้าไปยังเว็บไซต์ปลอมได้ เนื่องจากในบางกรณีระบบคัดกรองอีเมลอาจไม่รองรับการเขียนระบุที่อยู่ IP ในรูปแบบดังกล่าว

ทาง Trustwave ให้ข้อมูลเพิ่มเติมว่า ตั้งแต่ช่วงกลางเดือน ก.ค. 2563 เป็นต้นมา พบอีเมลสแปมจำนวนมากที่ใช้วิธีเขียนที่อยู่ IP ในรูปแบบเลขฐาน 16 (ขึ้นต้นด้วย 0x ตามด้วยตัวเลขฐาน 16) นอกจากนี้ยังพบด้วยว่าเมื่อนำเมาส์ไปชี้บนที่อยู่ IP ที่เขียนในรูปแบบดังกล่าว โปรแกรมอ่านอีเมลแต่ละตัวจะแสดงผลลิงก์ปลายทางไม่เหมือนกัน โดย Thunderbird จะแสดงลิงก์ในลักษณะที่อยู่ IP ที่ถูกแปลงให้อยู่ในรูปแบบปกติแล้ว (เลขฐาน 10) ส่วนใน Outlook จะยังแสดงผลลิงก์ปลายทางเป็นตัวเลขฐาน 16

ทั้งนี้ การหลบเลี่ยงระบบคัดกรองอีเมลด้วยวิธีเปลี่ยนรูปแบบการเขียนระบุที่อยู่ IP นั้นไม่ใช่เรื่องใหม่ แต่บางระบบตรวจจับอาจยังไม่รองรับ รวมทั้งตัวผู้ใช้เองก็อาจยังไม่ได้รับทราบว่าสามารถถูกโจมตีในลักษณะนี้ได้ ดังนั้นการติดตามข่าวสาร โดยเฉพาะอย่างยิ่งการศึกษาเทคนิคการโจมตีที่เกิดขึ้นอยู่ในปัจจุบัน ก็จะช่วยให้ผู้ใช้เกิดความตระหนักและลดความเสี่ยงที่จะเกิดขึ้นได้

ร่วมเป็นแฟนเพจเฟสบุ๊คกับ TCIJ ออนไลน์
www.facebook.com/tcijthai

ป้ายคำ
Like this article:
Social share: